面向移动应用服务数据的信息安全保障技术研究及应用示范可行性报告.docx

面向移动应用服务数据的信息安全保障技术研究及应用示范可行性报告.docx

《面向移动应用服务数据的信息安全保障技术研究及应用示范可行性报告.docx》由会员分享，可在线阅读，更多相关《面向移动应用服务数据的信息安全保障技术研究及应用示范可行性报告.docx（20页珍藏版）》请在冰豆网上搜索。

广东省科技计划项目申报书（技术开发类）

面向移动应用服务数据的信息安全保障技术研究及应用示范可行性研究报告

一、项目的实施方案（限3000字）

（一）总体方案、研发内容

随着移动互联网行业整体向规范化发展，各类移动应用（如即时通信、搜索引擎、网络新闻、网上支付等应用）不断创新，极大的丰富了应用场景和方式。

据中国互联网络信息中心（CNNIC）发布的《中国互联网发展状况统计报告》显示，截至2016年12月，我国网民规模达7.31亿，手机网民规模达到6.95亿，网民中使用手机上网的人群占比由2015年的90.1%提升到95.1%，移动终端作为主要上网终端的趋势进一步明显。

移动应用的快速发展驱使公众的使用习惯逐渐向移动端迁移和渗透，典型移动应用服务行业产生的数据规模呈现爆炸式的增长，根据计世资讯（CCWResearch）研究数据显示，2016年中国移动金融行业大数据市场规模达到21.65亿元，且此后将保持每年超过100%的增长率。

在移动数据大规模产生的同时，移动应用服务数据的信息安全问题显得尤为重要。

目前，移动应用数据的信息安全问题始终未得到有效的解决，有可能损害用户的切身利益。

移动应用服务数据面临的风险主要来自敏感信息窃取与篡改、数据非法访问控制、恶意软件入侵等方面，存在于数据产生、传输、存储和应用等各个环节。

本项目将面向移动应用服务数据的信息安全保障技术，主要研究内容是面向移动应用服务数据的敏感信息识别与管理、轻量级安全加密传输及数据分层/分级交换、数据安全存储及恢复、风险量化及可视化技术。

本项目将开展8个方面的关键技术攻关工作：

1.研究移动数据智能识别与管理技术，重点研究移动终端敏感信息的智能识别感知、细粒度的敏感数据标签控制、云端敏感数据安全策略等关键技术，确保数据生成阶段的环境安全；

2.研究移动数据安全传输技术，重点开展轻量级安全传输管道与数据分层/分级安全交换链的关键技术攻关，确保数据传输阶段的管道安全；

3.研究移动数据安全存储保护及恢复技术，针对终端及云端敏感信息的访问控制、加密保护、密文搜索、数据销毁、敏感数据去隐私化等技术开展研究，确保数据存储阶段的安全；

4.研究终端和云端的风险量化及安全可视化技术，建设应用展示原型系统，为用户展示敏感信息安全风险量化及评估服务的效果。

5.编制移动应用服务数据的信息安全评测指标体系；

6.制定移动应用服务数据的信息安全防护技术规范；

7.建立面向移动应用服务数据的信息安全风险资源库1套；

8.开展面向移动应用服务数据的信息安全保障应用示范，实现一定规模推广。

（二）技术路线

项目将围绕移动应用服务数据的特点及安全保障需求，重点针对基于云+端模式的分级安全保障技术进行攻关，并研究基于移动服务数据的生成、传输、存储及应用的安全保障支撑能力集成技术，实现移动数据信息安全保障的技术框架，为保障移动数据的完整性与一致性，提高其可信性和可溯性，保障大数据应用环境下移动终端产业的健康发展提供示范应用技术手段。

1.移动数据敏感信息的智能识别与管理技术研究

移动数据敏感信息的智能识别与管理包括移动终端敏感信息的智能识别感知、细粒度的敏感数据标签控制、敏感数据安全管理。

研究移动终端敏感数据智能识别感知技术，包括基于多特征融合识别技术及多任务深度神经网络识别技术。

研究上下文特征与物体特征的融合技术，建立包含上下文特征及物体特征的识别模型，分别提取特征后进行融合。

采用DeepCNNs（深度卷积神经网络），通过充分利用DeepCNNs模型的可并行特点，结合SGD（随机梯度下降）训练的数据并行特性，加速模型训练过程，实现移动终端轻量级的敏感信息智能识别。

研究细粒度的敏感数据标签控制技术，包括标签生成、标签存储及标签传输控制技术，对数据标签和应用标签进行管理，有效记录数据的保密级别和应用操作的权限，通过在端侧和网关/服务器处对移动数据进行标记，实现对移动数据单独、细粒度的保护。

研究敏感数据安全管理策略，负责管理全网终端的安全策略，对全网终端进行统一配置和策略下发，进行统一的管理能够减少管理配置的负担。

2.面向移动应用服务数据的轻量级安全加密传输技术研究

移动应用服务数据安全传输通过轻量级安全传输管道与数据分层/分级安全交换链实现。

研究轻量级安全传输技术，包括数据传输通道的加密保护和信令传输通道的加密保护。

采用OpenSSL密码引擎实现国密SM2、SM3、SM4算法库，搭建用户颁发与管理数字证书的轻量级CA，采用基于国密SM4的分组密码算法实现数据传输通道加密，采用基于国密SM2的公钥密码算法实现信令传输通道加密。

研究移动数据分层/分级交换技术，采用基于进程可信分析策略对数据分级交换安全行为进行分析，通过基于结构特征的交换数据源异常检测技术以及基于代理重签名的交换数据源签名保护技术，实现对交换数据源的提取、传输、存储的分级安全保护。

基于进程可信的数据分级交换安全行为分析技术针对数据源可信、进程静态可信、进程动态可信等内容进行研究，确保数据安全交换链运行环境的可信性。

基于结构特征的交换数据源异常检测技术是根据交换数据源载体文档结构分析数据源特征，利用决策树算法对给定数据生成训练模型，实现对目标文档中恶意代码的检测。

基于代理重签名的交换数据源签名保护技术采用无证书代理重签名方案，实现对自适应选择消息攻击的存在性不可伪造。

3.终端和云端数据安全存储及恢复技术研究

移动应用服务数据的安全存储包括终端和云端的数据安全。

研究终端的移动应用数据安全，建立多层级的隐私访问控制系统进行监控，从应用层、框架层和内核层三个层面保护敏感数据的安全；在终端存储加密方面，通过外置SD卡的全盘加密保证终端敏感数据的安全；在终端存储数据安全销毁方面，通过抹除加密密钥、数据重写和远程删除等方法保证数据安全销毁。

研究云端的移动应用服务数据的安全，云端数据通过对称密钥全盘加密存储，对称密钥通过账号信息动态生成，实现数据分账号分块的加密存储；研究大数据的去隐私化处理技术，从隐私数据中提取索引字段，调用映射关系表，完成去隐私化处理。

4.终端和云端风险量化及安全可视化技术研究

移动应用服务数据的应用展示层包括终端敏感信息风险识别与等级保护模型与云端风险量化及可视化技术。

对包含敏感信息的海量数据安全可视化，主要通过基于多源日志安全可视化技术实现。

采用信息融合技术对多源日志网络安全数据进行统一格式的时间元组和统计元组的提取，将其标准化、过滤、归并及关联，最终以对比堆叠流图和雷达图的形式展示设备遭遇安全事件的整体情况、发生某一类安全事件的设备以及某一特定设备遭受所有安全事件的情形，为风险量化提供基础数据，实现安全事件的分析和响应。

通过基于大数据聚类分析的方法，建立一套云端数据访问异常监控及旁路审计的风险量化技术方案。

对用户账号、设备、网关、操作行为等数据进行聚类分析、模型训练及迭代调优，实现异常行为实时监控。

对所有操作行为进行旁路日志输出和分类审计对账，实现账号实时告警。

移动终端敏感信息风险识别与等级保护测评模型主要基于等级保护体系的敏感信息风险量化评估技术，计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。

（三）创新点

1.面向移动应用敏感信息的敏捷深度学习技术

采用上下文特征与物体特征的融合技术，建立包含上下文特征及物体特征的识别模型，分别提取特征后进行融合。

采用DeepCNNs（深度卷积神经网络），通过充分利用DeepCNNs模型的可并行特点，结合SGD（随机梯度下降）训练的数据并行特性，加速模型训练过程，实现移动终端轻量级的敏感信息智能识别。

2.基于映射编码的敏感信息去隐私化处理技术

采用映射编码机制，从数据源中获取隐私数据，提取索引字段，调用去隐私化映射关系表；根据去隐私化映射关系表中的映射规则，将索引字段映射为去隐私化映射关系表中的映射编码，完成对隐私数据的去隐私化处理。

3.基于大数据聚类分析双重实时监控的风险量化技术

深入剖析用户的行为特征，以账号、设备和网关等维度的数据建立用户数据模型，以接入层、业务层和数据层等维度的数据建立用户操作行为模型，形成具有风险发现、安全防护和持续监控等功能的风险量化系统。

风险量化系统通过大量的模型训练和迭代调优，能够发现用户的异常行为并实时拒绝，规避存在潜在的安全风险。

4.大数据应用环境下的移动终端敏感信息安全风险评估与等级保护测评模型

采用基于等级保护体系的敏感信息安全风险评估方法，依据敏感信息的典型特征建立新的分级保护要求，利用层次分析法建立基于等级保护要求的风险评估量化模型，并给出具体的风险计算与关联分析方法，在降低人为主观因素的前提下计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。

（四）组织方式

本项目基于申报单位的技术和服务基础，结合参与单位的技术支持，通过签订项目合作协议的形式，共同组成技术研发团队完成项目实施。

项目任务分工方案见表1-1。

表1-1项目任务分工方案

单位

研究实施内容

申报单位

（1）负责XXXX；

（2）负责XXXX的研究；

（3）负责XXXX；

（4）负责完成技术成果的应用试点；

（5）负责编制相关标准和规范。

参与单位

（1）参与相关技术研究；

（2）协助完成技术成果的应用试点；

（3）参与编制相关标准和规范。

（五）研究团队构成

由申报单位和参与单位共同组成的项目组，共有成员80人，其中60人为技术人员，具有高级职称的10人，博士8人，硕士47人，安全技术专家8人，质量控制技术专家5人，10人负责项目管理，10人负责应用试点。

项目组成员融合了本行业相关的技术、管理等领域的专业人才，为项目的顺利完成提供了强有力的保证。

（六）计划进度安排

本项目的建设时间为2017年7月至2019年6月，具体的工作进度详见表1-2。

表12项目实施进度计划

时间进度

工作内容

（七）经费预算合理性评估

1.采购设备清单

表13采购设备清单（金额单位：

万元）

序号

仪器设备名称

数量

（台套）

单价

金额

负责管理单位

合计

2.人员费用预算评估

在研究过程中，需要支付项目团队人员工资。

项目预计投入100人月，每人月均8000元；外聘工作人员投入20人月，每月5000元，合计90万元。

3.调研计划支出预算

在研究过程中，需要进行业务调研、项目协调、学术交流、专家咨询等。

技术和业务骨干7人，每人进行15次业务调研、项目协调和学术交流，每次产生差旅费和会议费4000元；技术骨干4人，每人进行2次国际交流，每次产生差旅费和会议费2.5万元；组织25人规模的专家咨询会议4次，每次产生费用2.2万元，所有调研计划支出合计70.8万元。

（八）项目实施绩效

1.技术成果指标

本项目在两年的项目实施期内预期完成以下技术研究工作：

Ø完成移动数据敏感信息智能识别与管理、终端和云端的安全存储保护及恢复、移动应用服务数据高效安全传输、数据分层/分级交换安全保护等技术研究报告4份；

Ø建立面向移动应用服务数据的信息安全风险资源库1套；

Ø研发面向移动应用服务数据的信息安全示范应用原型系统1套；

Ø编制面向移动应用服务数据的信息安全保障技术相关标准（草案）1项以上；

Ø编制面向移动应用服务数据的信息安全评测指标体系和评测规范1项以上；

Ø申请核心技术发明专利5项和软件著作权2项；

Ø发表高水平论文2篇。

2.预计的经济效益

面向不低于XX家企业用户进行技术服务试点，预计项目结束时共新增产值XXX万元，累计新增利税XX万元。

3.预计的社会